Выбрать дату в календареВыбрать дату в календаре

файлы зашифрованы с расширением !Ecryptedd
[QUOTE]Антон Ждахин написал:
Поймали шифровальщик. Атрибут файлов теперь такого вида !Ecryptedd[/QUOTE]
Антон,
сделайте образ автозапуска + логи FRST
+
добавьте несколько зашифрованных файлов в архиве+ записку о выкупе, если есть такая
WannaCash
[QUOTE]Rahimjon Sobirjonov написал:
Новый проблемы не была но файлы не расшифрован  что делать[/QUOTE]
по расшифровке файлов, при наличие лицензии на продукт ESET напишите  в support@esetnod32.ru
WannaCash
Дмитрий Субботин написал:
[QUOTE]спасибо,всё сделал, файл вируса (тело) находится на карантине, но его невозможно
скопировать, упаковать, что бы отправить в eset 32 .[/QUOTE]
вы можете восстановить его из карантина в другое место с изменением расширения файла, например vexe, v1e и т.д,
заархивировать файл с паролем infected, и далее уже отправить в support@esetnod32.ru вместе с архивом зашифрованных файлов
WannaCash
Евгений,
по образу все чисто.
по расшифровке файлов при наличие лицензии на продукты ESET напишите в support@esetnod32.ru
Universal Virus Sniffer (uVS)
---------------------------------------------------------
4.1.9
---------------------------------------------------------
o Исправлена ошибка в обработчике планировщика задач, ошибка могла приводить к зацикливанию.

o Исправлена функция обработки 38-го твика при работе с образами и удаленными системами.
WannaCash
[QUOTE]Ильнур Билалов написал:
Здравствуйте!а по моей проблеме что нибудь удалось выяснить?Спасибо![/QUOTE]
ильнур,
используем ломанный антивирус,
C:\PROGRAM FILES\TNOD\TNODUP.EXE
помощь в очистке системы на официальном форуме ESET не будет вам оказана.
обращайтесь за помощью на другой форум.
WannaCash
[QUOTE]Дмитрий Субботин написал:
Здравствуйте, аналогичная ситуация, все файлы зашифрованы. Если есть возможность,помогите, пожалуйста,спасибо.[/QUOTE]
по компутеру ВАСИЛИЧ-ПК

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDJGDGDCFMDKFICBIFBNAACKNBLBKHHOC%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGKDKFNBDDPDPIDBPNLJCOCPJEAAFNGDB%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJMPFDKMPOJOEEMJMFIDDLHKKNDCDPNO%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3D­ONDEMAND%26UC
delall %SystemDrive%\USERS\ВАСИЛИЧ\DOCUMENTS\INFO.EXE
delall %SystemDrive%\USERS\ВАСИЛИЧ\APPDATA\LOCAL\YANDEX\YANDEXBROWS­ER\USER DATA\DEFAULT\EXTENSIONS\HELPER-SIG@SAVEFROM.NET.CRX
apply

QUIT
[/code]
без перезагрузки, пишем о старых и новых проблемах.
------------
по расшифровке файлов при наличие лицензии на продукты ESET напишите в support@esetnod32.ru
WannaCash
[QUOTE]Rahimjon Sobirjonov написал:
[QUOTE] santy написал:
Прикрепленные файлы[/QUOTE]Здравствуйте. я сделал как вы сказали [/QUOTE]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
delall %SystemDrive%\PROGRAM FILES\PDFESCAPE DESKTOP\CREATOR\COMMON\CREATOR-WS.EXE
delall %SystemDrive%\PROGRAM FILES\PDFESCAPE DESKTOP\UPDATER-WS.EXE
delall %SystemDrive%\PROGRAM FILES\PDFESCAPE DESKTOP\WS.EXE
deldirex %SystemDrive%\PROGRAM FILES\PDFESCAPE DESKTOP
;---------command-block---------
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJMPFDKMPOJOEEMJMFIDDLHKKNDCDPNO%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CRASH.STEAMPOWERED.COM/SUBMIT
apply

QUIT
[/code]
без перезагрузки, пишем о старых и новых проблемах.
------------
по расшифровке файлов при наличие лицензии на продукты ESET напишите в support@esetnod32.ru
файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer, Filecoder.Crysis / Encoder.3953; r/n: info.hta
[QUOTE]Vitamin Vit написал:
Аналогично, стал жертвой этого щифровальщика.
Так понимаю - новостей по дешифровке нет?

Получается, что какие-то московские чудики могут расшифровать мои файлы, значит ключ у кого-то есть. Возникает вопрос - а может быть эта контора причастна к этому вирусу, раз ни у кого нет ключей, а у них есть? И куда смотрят наши правоохранительные органы?[/QUOTE]

на Crysis фронте пока без перемен.
ключи есть у злоумышленников. "эти чуваки" просто за ваши деньги берут у них ключ, и вам продают, + себе часть оставляют за труды.
WannaCash
[QUOTE]Дмитрий Субботин написал:
Здравствуйте, аналогичная ситуация, все файлы зашифрованы. Если есть возможность,помогите, пожалуйста,спасибо.[/QUOTE]
добавьте образ автозапуска и логи FRST